2006年06月08日

システム管理者の心得? 〜 OpenSSLコマンドで証明書をチェック(2)

はてなブックマークに登録

先日の投稿で、 openssl s_client コマンドを使って軽く通信試験をしてみました。
実際にやってみた方はお気づきかもしれませんが、あのコマンドだと以下のようなエラーがでます。


$ openssl s_client -connect localhost:4433

CONNECTED(00000003)

depth=0 (subject)

verify error:num=20:unable to get local issuer certificate

verify return:1

depth=0 (subject)

verify error:num=27:certificate not trusted

verify return:1

depth=0 (subject)

verify error:num=21:unable to verify the first certificate

verify return:1

---

Certificate chain

 0 s:(subject)

   i:(issuer)

---

Server certificate

-----BEGIN CERTIFICATE-----

(略)

-----END CERTIFICATE-----

subject=(subject)

issuer=(Issuer)

---

No client certificate CA names sent

---

SSL handshake has read 1116 bytes and written 250 bytes

---

New, TLSv1/SSLv3, Cipher is EDH-RSA-DES-CBC3-SHA

Server public key is 512 bit

SSL-Session:

    Protocol  : TLSv1

    Cipher    : EDH-RSA-DES-CBC3-SHA

    Session-ID: 

    Session-ID-ctx:

    Master-Key: 

    Key-Arg   : None

    Start Time: 1149746479

    Timeout   : 300 (sec)

    Verify return code: 21 (unable to verify the first certificate)

---


verify error: とか最後の Verify return code: 21 って気になりますよね? 
そうなんです、一応通信はできてはいますが証明書の検証ができていないんです。
SSLで通信する際には、受け取った証明書が正しいものかどうかを検証する必要があります。
大抵のブラウザには、はじめからいくつかの認証局の証明書がインストールされており、自動で検証してくれるので気にならないかもしれませんが、openssl コマンドを使う場合には CA証明書を手動で指定しなければいけません。CA証明書の入手方法は・・・・ってここにリンク先を書くのはお行儀が悪いので、ご利用の認証機関のサイトを訪ねてみてください。

で、CA証明書のファイル名を CA.pem とした場合、s_client では以下のように指定します。



$ openssl s_client -connect localhost:4433 -CAfile CA.pem


すると、実行結果はこんな感じになります。



CONNECTED(00000003)

depth=2 .....

verify return:1

depth=1 .....

verify return:1

depth=0 .....

verify return:1

---

Certificate chain

 0 s:(subject)

   i:(issuer)

---

Server certificate

-----BEGIN CERTIFICATE-----

(中略)

-----END CERTIFICATE-----

subject=(subject)

issuer=(issuer)

---

No client certificate CA names sent

---

SSL handshake has read 1116 bytes and written 250 bytes

---

New, TLSv1/SSLv3, Cipher is EDH-RSA-DES-CBC3-SHA

Server public key is 512 bit

SSL-Session:

    Protocol  : TLSv1

    Cipher    : EDH-RSA-DES-CBC3-SHA

    Session-ID:

    Session-ID-ctx:

    Master-Key:

    Key-Arg   : None

    Start Time: 1149748977

    Timeout   : 300 (sec)

    Verify return code: 0 (ok)

---


かなりすっきりしました。
やはり Verify return code: 0 (ok) は気持ちがいいものです。

また、万一証明書の有効期限が切れている場合は、



    Verify return code: 10 (Certificate has expired)


な感じになります。

klab_gijutsu2 at 15:56│Comments(0)TrackBack(0)
このBlogのトップへ前の記事次の記事

トラックバックURL

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔   
 
 
 
Blog内検索
最新記事
ISUCON 8 予選で惨敗しました(リュウグウ)
ESP32 モジュールのフラッシュメモリ暗号化機構に関するメモ
Google Home でローカルの MP3 ファイルをプレイリスト再生する方法
Google Home を拠点間の双方向コミュニケーションに利用する
最近のPython-dev(2018-06)
SwitchBot を ESP32 で遠隔操作してみた
最近のPython-dev(2018-04)
電波法適合の NFC モジュールで安価な NFC タグを利用する
LVSの高負荷対策 その3 〜drop entryのサービスへの影響について〜
Re: Configuring sql.DB for Better Performance
最近のPython-dev(2018-01)
Pythonアプリの起動を高速化する
Archives
このブログについて
DSASとは、KLab が構築し運用しているコンテンツサービス用のLinuxベースのインフラです。現在5ヶ所のデータセンタにて構築し、運用していますが、我々はDSASをより使いやすく、より安全に、そしてより省力で運用できることを目指して、日々改良に勤しんでいます。
このブログでは、そんな DSAS で使っている技術の紹介や、実験してみた結果の報告、トラブルに巻き込まれた時の経験談など、広く深く、色々な話題を織りまぜて紹介していきたいと思います。
最新コメント
最新トラックバック
ZenFone3 で撮影した写真ファイル内の、位置情報が壊れている Exif データを修復するコードを書いてみた (仙石浩明の日記)
Exif データにアクセスするコードを自作してみる
無線マイコンの使い方(TWE-LITE)無線マイコンとは編 (NOBのArduino日記!)
「TWE-LITE」ファームウェアプログラミングの試み
PHPで携帯キャリアのIPアドレス帯域を求める (ぱふぅ家のホームページ)
携帯ゲートウェイのIPアドレス帯更新を効率的に確認する方法
PHPで携帯キャリアのIPアドレス帯域を求める (ぱふぅ家のホームページ)
携帯ゲートウェイのIPアドレス帯更新を効率的に確認する方法
証明書をサーバに設定する前にチェックする (パソコン鳥のブログ)
システム管理者の心得? 〜 OpenSSLコマンドで証明書をチェック